技術領域

本發明涉及網絡安全領域，特別涉及一種網絡安全狀態獲取方法、裝置及系統。

背景技術

隨著互聯網在全球的快速發展，由于IP技術的開放架構和其本身安全保護的缺乏，使得應用層的安全威脅，如病毒、黑客攻擊等層出不窮。為了保護網絡不受那些來自不安全端點的威脅，出現了網絡端點評估(NEA，Network?Endpoint?Assessment)技術。

在NEA體系中，網絡管理者通過安裝在試圖接入網絡的端點上的NEA代理軟件，收集端點的狀態信息，并進行評估，考察其對網絡安全策略的符合程度，對于不符合安全策略的端點，將不允許其接入網絡。這里，安裝了NEA代理軟件的端點稱為代理客戶端，對代理客戶端進行評估的網絡節點稱為代理服務器。當代理客戶端要接入某個網絡時，為明確起見，將代理客戶端當前所在網絡的代理服務器稱為當前網絡代理服務器，將代理客戶端請求接入的網絡中的代理服務器稱為接入網絡代理服務器。

現有技術中，有兩種對代理客戶端評估的實現方式，以下分別描述：

方式一：參見圖1，圖1為現有技術對代理客戶端評估的實現方式一。評估的具體步驟如下：

步驟101：代理服務器向代理客戶端發送查詢請求消息，在該消息中指明需要代理客戶端提供哪些安全方面的信息。

步驟102：代理客戶端向代理服務器發送查詢結果消息，在該消息中攜帶相應的自身安全狀態信息。

步驟103：代理服務器對收到的安全狀態信息進行評估，根據評估結果做出是否允許代理客戶端接入網絡的接入決策，如果允許，則將授權決定通過授權消息發送給代理客戶端；如果不允許，則將更新途徑通過更新消息發送給代理客戶端。

方式二：參見圖2，圖2為現有技術對代理客戶端評估的實現方式二。評估的具體步驟如下：

步驟201：代理服務器向代理客戶端發送策略信息消息，在該消息中攜帶評估時所需要的安全策略。

步驟202：代理客戶端依據安全策略對自身的安全狀態信息進行評估，將評估結果攜帶在評估結果消息中發送至代理服務器。

步驟203：代理服務器根據評估結果做出是否允許代理客戶端接入網絡的接入決策，如果允許，則將授權決定通過授權消息發送給代理客戶端；如果不允許，則將更新途徑通過更新消息發送給代理客戶端。

上述兩種方式可以看出，當代理客戶端要接入某個網絡時，該網絡中的代理服務器能獲取該代理客戶端的安全信息，所述安全信息為安全狀態信息或者安全狀態評估結果，根據獲取的代理客戶端安全信息做出接入決策，判斷是否允許代理客戶端接入網絡。但是，代理服務器無法獲取代理客戶端當前所在網絡的安全信息，這樣使得來自不安全網絡的代理客戶端極有可能給下一個接入網絡帶來潛在的安全隱患。此外，對于點對點(P2P，Point?to?Point)網絡，將NEA代理客戶端軟件、以及NEA代理服務器軟件分別安裝在不同的網絡端點時，安裝NEA代理服務器軟件的端點也無法獲取安裝NEA代理客戶端軟件的網絡端點所在網絡的安全信息。以下為方便起見，將安裝NEA代理服務器軟件的端點稱為第一網絡設備，將安裝NEA代理客戶端軟件的網絡端點稱為第二網絡設備。

發明內容

本發明實施例提出一種網絡安全狀態獲取方法，該方法能夠在第二網絡設備請求接入第一網絡設備所在網絡時，使第一網絡設備獲取該第二網絡設備當前所在網絡的安全狀態。

本發明實施例還提出網絡設備、一種網絡安全狀態獲取裝置、以及一種網絡系統，使第一網絡設備獲取第二網絡設備當前所在網絡的安全狀態。

本發明的技術方案是這樣實現的：

一種網絡安全狀態獲取方法，該方法包括：

第一網絡設備向第二網絡設備發送第二網絡設備所在網絡的安全狀態請求消息；

第二網絡設備或第二網絡設備所在網絡中的網絡安全狀態獲取裝置根據所述安全狀態請求消息獲取網絡安全信息，向第一網絡設備反饋該網絡安全信息。

一種網絡設備，所述網絡設備包括：

請求消息發送模塊，用于向待接入的網絡節點發送待接入網絡節點所在網絡的網絡安全狀態請求消息；

接收模塊，用于接收待接入節點所在網絡的網絡安全信息。

一種網絡設備，所述網絡設備包括：

請求消息接收模塊，用于接收來自接入網絡服務器的所述網絡設備所在網絡的網絡安全狀態請求消息；

第一發送模塊，用于向網絡安全狀態獲取裝置發送所述網絡設備所在網絡的網絡安全狀態請求消息；

安全信息獲取模塊，用于獲取所述網絡設備所在網絡的網絡安全信息；